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Cassandra Crossing/ SPID da cambiare? 


(407)—21 luglio 2017-1 frequentatori assidui di questa rubrica sanno che Cas- 
sandra sulla SPID ha già esternato a più non posso in ben 6 articoli, tanto che 
alcuni le hanno espresso una certa perplessità per questa logorrea. 


Chiediamo scusa a loro, perché oggi arriviamo al settimo, a causa della pub- 
blicazione, sul quotidiano telematico Agenda Digitale, di un interessantissimo 
articolo a firma di Gianluigi Cogo, che concorda con alcune delle profezie perp- 
lessità cassandresche. Leggetelo, vale il tempo necessario. 


Per i pigri, la parte più interessante è la seguente: 


“Sia chiaro che qui facciamo tutti il tifo per SPID perché si tratta di una vera 
rivoluzione (ahimè, per il nostro vecchio paese è proprio così). Ma dopo un anno 
di sperimentazione l’adozione è bassissima e la reingegnerizzazione dei servizi 
praticamente assente Inoltre, la forma di erogazione freemium (alla fine dei due 
anni si dovrà pagare per avere accesso) non ci rende tranquilli.Il piano triennale 
prevede una forte accelerazione di SPID, perché fra le varie piattaforme abilitanti 
è quella più importante e più delicata per il futuro stesso del rapporto fra la PA 
e i suoi clienti.Il team sta facendo buone cose coinvolgendo gli sviluppatori nella 
community che dovrà cambiare la ’piattaforma paesè, ma ad oggi i risultati non 
si vedono. 


Colpa di tutti, PAC, PAL e mercato. Tutti con il freno a mano tirato.” 
L’articolo tuttavia arriva a conclusioni assai diverse da quelle di Cassandra: 


“Cosa serve dunque per accelerare? Semplice, riprogettare da capo le applicazioni, 
non solo mettere a disposizione un framework di autenticazione e accesso.” 


Ora, Cassandra è senz’altro sollevata dall’esistenza di un addetto ai lavori che 
condivide la sua opinione sulla salute presente e futura della SPID, situazione 
che è tanto evidente quanto poco, anzi punto, raccontata. Finalmente! 


Non ci vuole molto, infatti, per constatare che la SPID è al palo, che è stata 
adottata solo da pochi addetti ai lavori per curiosità e da un milione di persone 
che solo così potevano avere 500 euro o andare in pensione. 


Né è difficile prevedere che, quando la SPID cesserà di essere gratuita, 
l’intero modello di business pubblico-privato probabilmente affonderà, 
facendo condividere alla SPID il destino dell’inutile e per fortuna ormai defunta 
CEC-PAC. Proprio la storia della CEC-PAC dimostra come sia inutile, anzi 
dannoso “spingere” iniziative che non decollano per problemi di base (nel caso 


della CEC-PAC il fatto di essere un duplicato della PEC) con interventi “propa- 
gandistici”, come quello di battezzarla equivocamente e viscidamente “PostaC- 
ertificat@”, 


Poco condivisibile appare invece la premessa dell’articolo che sia il processo di 
attivazione in 4 step ad essere di ostacolo all’adozione di SPID; certo non ne aiuta 
l’adozione “d’impulso”, ma non è questo il problema, anzi.Chi ha bisogno di una 
novità utile, come la PEC o la firma digitale, non si lascia certo scoraggiare da 
un po’ di (normale, necessaria, anzi indispensabile) burocrazia. Il successo della 
firma digitale ne è la prova. 


Di converso, adopter “allegri” e poco consapevoli di una novità informatica 
che, se usata con poca cura e comprensione, presenta intrinseci pericoli per 
la vita digitale, è meglio che siano scoraggiati dall’adottarla, almeno fino a 
quando le debolezze implementative della SPID non saranno risolte dal “mer- 
cato” o ex-lege. 


A prescindere dalle valutazioni tecniche su particolari aspetti dell’iniziativa 
SPID infatti, certamente nessuno può trovare desiderabile che milioni di persone 
che non sono in grado di gestire password diverse per servizi diversi, aderiscano 
d’impulso alla SPID senza essere in grado di comprenderne le problematiche di 
sicurezza. 


Il single point of failure della SPID è infatti rappresentato proprio dal suo van- 
taggio principale, cioè dall’essere una singola credenziale universale, come im- 
plementata oggi ahimé debole. 


E neppure appare risolutiva la soluzione proposta nell’articolo di una neces- 
saria “riprogettazione delle applicazioni” della SPID. Si dovrebbe parlare di 
“creazione” di applicazioni utili e sicure della SPID. Manca infatti proprio 
l’innovazione, che deve venire dalle aziende o dagli utilizzatori; senza un’utilità 
di base e senza una killer application non si risolverà mai il circolo vizioso in 
cui la SPID è intrappolata, cioè che il suo successo dipende da un’ adozione 
generalizzata “a priori”, pur trattandosi di una novità che non offre vantaggi 
immediati per gli utenti, e porta invece nuovi pericoli certi. 


Ed a questo proposito si deve sottolineare che manca, almeno tra il materiale 
pubblicamente disponibile, la definizione del modello di minaccia e dei vettori di 
attacco applicati durante l’analisi delle problematiche di sicurezza del sistema 
SPID. 


Detto in termini semplici, delle conseguenze, ad esempio, della diffusione di un 
malware customizzato che faccia MITM a tutte le SPID 2 esistenti, oppure 
della sottrazione e diffusione del database degli utenti di uno dei provider di 
SPID. 


In queste condizioni il giudizio di Cassandra resta quello di un rifiuto critico 
della partecipazione a questa iniziativa, che pure avrebbe importanti as- 
petti positivi. 


E, ricordiamo, purtroppo astenersi dal richiedere la SPID non garantisce che 
qualcun altro non possa ottenere il rilascio fraudolento delle credenziali SPID 
di chi non le ha mai richieste. 
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